Das Prinzip von DNSSEC hört sich einfach an, ist aber durchaus mit Problemen verbunden. Für Endanwender geht es damit los, dass gängige NAT-Router, etwa eine Fritzbox, in bestimmten Situationen nicht mehr richtig arbeiten – und zwar unabhängig davon, ob man DNSSEC nutzen möchte oder nicht.
<Update 30.09.2010 11:20:>
AVM hat im September 2010 für die Fritzbox-Modelle 7390, 7320, 7270 und 7240 ein Update herausgebracht, das DNSSEC unterstützt. Die Implementierung unterstützt DNS über TCP und „lange“ UDP-Pakete mit mehr als 512 Bytes. Sie wurde vom BSI als DNSSEC-kompatibel bestätigt. Für die Modelle 3270, 7170 und 7112 sind Aktualisierungen in Vorbereitung.</Update>
Damit DNSSEC funktioniert, muss ein Server zu jeder DNS-Antwort eine gültige Signatur liefern können. Das geschieht in Form eines RRSIG-Records. Diese RRSIG-Records haben eine gewisse Länge, meist 128 Byte, und etwas Protokoll-Overhead. Das Problem dabei ist, dass die meisten Consumer-Router nicht in der Lage sind, DNS über TCP abzuwickeln, was immer dann notwendig ist, wenn die Antwort 512 Byte überschreitet.
Normalerweise werden DNS-Antworten in einem UDP-Paket abgewickelt. Da die Queries und Antworten in der Regel recht kurz sind, wäre es ein großer Aufwand, dafür eine TCP-Verbindung auf- und wieder abzubauen. Der notwendige Datenverkehr für den Auf- und Abbau einer TCP-Verbindung würde die DNS-Nutzdaten meist überschreiten.
Grundsätzlich können IP-Pakete so lang sein, dass sie in ein Paket des darunterliegenden Transportprotokolls passen. Bei Ethernet sind das 1500 Byte. Diesen Wert bezeichnet man als Maximum Transmission Unit (MTU). Die MTU sinkt, wenn weitere Protokollebenen verwendet werden. Die deutschen DSL-Anbieter verwenden zur Authentifizierung PPPoE. Das bedeutet einen Protokolloverhead von 8 Byte. Die MTU sinkt somit auf 1492 Byte.
Jede Tunnelung, beispielsweise VPN-Verbindungen oder IPsec, sorgen für eine weitere Reduktion der MTU. Da verschiedene Tunnelmechanismen miteinander kombiniert werden können, kann die MTU weit unter 1500 Byte sinken. Um auf „Nummer sicher“ zu gehen, versenden DNS-Server maximal 512 Byte in einem UDP-Paket. So ist sichergestellt, dass das UDP-Paket auf jeden Fall durchkommt. Ab 513 Byte muss TCP verwendet werden.
Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…
Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…
Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.
Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…
Kontinuierliche Content Produktion und Markenaufbau sind essentieller Pfeiler von langfristigen Unternehmenserfolg. Das ist mittlerweile auch…
KI-Funktionen beschleunigen die Erholung des PC-Markts. Der Nettogewinn legt um 44 Prozent zu, der Umsatz…